PSD2 SCA, en tu comercio electrónico desde 01 de enero de 2021

Cuando hablamos de tantas regulaciones juntas, muchas personas pueden confundirse, como es el caso de nuestros clientes emprendedores, que necesitan, que les expliquemos de forma sencilla qué es lo que está pasando en torno a la seguridad de compras por internet y la aplicación de la normativa actual, que debe de implantarse antes del 01 de enero de 2021, es por ello por lo que vamos a escribir este artículo, para dar un poco de luz.

¿Qué es la PSD2?

 Es la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, sería la segunda Directiva que modificó las anteriores PSD.

PSD anteriores:

Directiva 2002/65/CE

Directiva 2009/110/CE

Directiva 2007/64/CE

Directiva 2013/36/UE

Reglamento (UE) 1093/2010

Por eso es comúnmente denominada hoy PSD2, o conocida en inglés como Revised Payment Services Directive.

Su objetivo era y es el desarrollo continuado de un mercado único integrado de pagos electrónicos seguros, para además apoyar el crecimiento de la economía de la Unión Europea y así garantizar que los consumidores, los comerciantes y las empresas en general disfruten de posibilidades de elección y condiciones de transparencia en los servicios de pago.

¿Qué es la SCA?

 Es como se está conociendo últimamente al REGLAMENTO DELEGADO (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 que complementa a PSD2 o la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Conocida como Autenticación reforzada de Clientes y en inglés; Strong Customer Authentication (SCA).

La SCA, proporciona una capa de seguridad nueva cada vez que un usuario realiza una compra.

Debió de entrar en vigor en España, el 14 de septiembre de 2019, pero Banco de España, solicitó una moratoria que acaba justo en fecha de 31 de diciembre de 2020.

Enlace a la normativa

Su objetivo es claro:

La adecuada protección de los servicios de pago ofrecidos online, deben prestarse adoptando tecnologías que permitan garantizar una autenticación segura del usuario y minimizar el riesgo de fraude. Esto es; mejorar la protección de los titulares de tarjetas.

El procedimiento de autenticación debe incluir, en general, mecanismos de supervisión de las operaciones para detectar los intentos de utilizar las credenciales de seguridad personalizadas del usuario de un servicio de pago que hayan sido objeto de extravío, robo o apropiación indebida, y debe también asegurar que quien hace uso del servicio de pago es el usuario legítimo y está por lo tanto dando consentimiento a la transferencia de fondos y acceso a su información de cuenta mediante un uso normal de sus credenciales de seguridad personalizadas.

Proteger a los titulares de las tarjetas

Minimizar el riesgo de fraude

Procedimiento de la SCA

Existen tres categorías válidas para la autenticación SCA;
Autenticación reforzada de Clientes:

  1. Conocimiento (art.6): sólo el cliente/consumidor sabe; puede ser una contraseña, un PIN, cualquier información.
  2. Posesión (art.7): sólo el cliente/consumidor posee, como cualquier dispositivo; móvil, reloj, Tablet, lector, tarjeta inteligente.
  3. Inherencia (art.8): Lo que es el cliente/consumidor; vía su huella dactilar, reconocimiento facial, iris, etc.

Solo cuando el pagador haya proporcionado dos de estas formas de Autenticación, se les permitirá completar su pago.

 

 

Será, además, necesario establecer requisitos para garantizar que estos elementos sean independientes, de modo que la vulneración de uno no comprometa la fiabilidad de los demás, en particular cuando cualquiera de estos elementos se utilice a través de un dispositivo multifuncional, es decir, un dispositivo (como una Tablet o un teléfono móvil) que pueda utilizarse tanto para dar una instrucción de pago como en el proceso de autenticación.

 

¿Cómo afecta ésto a mi e-commerce?

Si tienes una tienda online seguramente estés ya al tanto o te suene la PSD2, puesto que poco a poco se ha ido integrando desde 2018 por parte de entidades bancarias y la moratoria se dio justamente por el posible impacto negativo que podría tener la SCA en el comercio electrónico.

Para responder sobre la adecuación de esta normativa en tu e commerce es necesario precisar los requisitos de autenticación reforzada de clientes que deben aplicarse cada vez que un usuario/cliente acceda a su web e inicie una operación de pago electrónico.

Ha de exigirse la generación de un código de autenticación que no corra el riesgo de ser falsificado en su totalidad o mediante la revelación de cualquiera de los elementos sobre cuya base se haya generado.

 Bien esto quiere decir que a partir del 01 de enero de 2021 todos los comercios electrónicos deberán de incluir a una autenticación de dos factores en sus medios de pago, ya que será el consumidor quién tendrá que autenticarse utilizando 2 de 3 factores de identificación, anteriormente mencionados.

 

¿Pero esto no estaba ya adecuado?

Actualmente la mayoría de los negocios online, que, si ya lo tenían implementado, cuentan con procedimientos seguros como 3-D Secure, mediante el cual la autenticación se da vía un SMS, en el dispositivo móvil, que envía un código para completar una compra.

Ahora se está implementando el 3D secure2.0 para poder cumplir con la normativa actual PSD2/SCA. Que requiere una autenticación, utilizando dos de los tres factores propuestos.

Si todavía no lo has integrado, deberás de contactar con tu desarrollador web y luego con el proveedor de sistemas o medios de pago, para ver como implementarlo.

Normalmente, todas las plataformas y bancos ya lo tienen implementado y será cuestión simplemente de ir a la configuración de tu plataforma y activarlo.

31 de diciembre de 2020, fecha clave y el límite, para adecuar tu e-commerce en materia de pagos.

PayPal  

El procedimiento de autenticación vía PayPal, lo implementan ellos, y seguramente recibas, instrucciones de cómo poder realizar el pago, con los dos factores de identificación.

Asegúrese de que sus datos, nombre, dirección, teléfono, etc., están actualizados, para que la autenticación se realice correctamente según el método que elija.

Aquí un post sobre preguntas frecuentes en PayPal.

Woocommerce

Si utilizas la plataforma Woocommerce, seguramente ya has debido recibir noticias sobre cómo están aplicando la normativa a partir del 14 de septiembre de 2019.

Si aún no sabes nada, revisa este post: https://woocommerce.com/posts/introducing-strong-customer-authentication-sca/  o ponte en contacto directamente con ellos.

En el panel de configuración, debería de aparecerte las opciones para configurar la doble autenticación.

En Woocommerce ya nos avisan que recomiendan a los comerciantes que se actualicen a métodos de pago compatibles con SCA a medida que estén disponibles.

¿Qué pasarelas de pago ofrecidas por WooCommerce.com están listas para SCA? 

¿Qué pasa con las pasarelas de pago ofrecidas por otros?

Con Magento y Prestashop, pasa lo mismo que con Woocommerce, ya están implantadas todas estas cuestiones y sólo hay que configurar el sistema de doble factor o verificación.

Enlaces a:

MAGENTO

PRESTASHOP

 Si cuenta con otra, comuníquese directamente con el desarrollador de su pasarela de pago para consultar sobre la preparación de SCA.

Lo habitual es que todos se terminen adecuando. Por ejemplo, las TPVs virtuales, se entiende que no tendrán que hacer ninguna adaptación especial.

Ya que cuando usted contrata todos estos sistemas de pago, ya le ofrecerán alternativas compatibles con la normativa actual.

¡¡¡ojo!!!

Pero si su negocio tiene una plataforma de pagos propia o diseñada a medida, con código, tendrá que ser adaptada a la normativa con el mencionado sistema de doble verificación, háblelo con su desarrollador o desarrolladores web, proveedores de este servicio.

Excepciones

No obstante, los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando el ordenante inicie una operación de pago electrónico sin contacto en la que se cumplan las condiciones siguientes:

  1. a) que el importe de la operación de pago electrónico sin contacto no exceda de 50 euros.
  2. b) que el importe acumulado de las operaciones previas de pago electrónico sin contacto iniciadas por medio de un instrumento de pago con una funcionalidad sin contacto desde la fecha de la última aplicación de la autenticación reforzada de clientes no exceda de 150 euros
  3. c) que el número de operaciones de pago electrónico sin contacto consecutivas iniciadas por medio de un instrumento de pago que ofrezca una funcionalidad sin contacto desde la fecha de la última aplicación de la autenticación reforzada de clientes no exceda de cinco.

PSD2 y RGPD

Así mismo, debemos tener en cuenta además que el Consejo Europeo de Protección de Datos publicó las Directrices 6/2020 sobre la interacción de la Segunda Directiva sobre servicios de pago PSD2 y el RGPD, sobre todo en lo relativo a:

  • Consentimiento expreso del usuario. Que a efectos del RGPD, debe distinguirse puesto que la base es y será contractual y el consentimiento expreso no sería la base para el tratamiento de los datos.
  • Base legal para el tratamiento de datos personales, que es contractual, para los servicios de iniciación de pagos (PIS) y los servicios de información de cuenta (AIS).
  • Tratamiento de los datos de terceros a quienes se les hace una transferencia y que no formen parte del contrato, es decir, no pudiendo tratarse sus datos para otros fines.
  • Procesamiento de categorías especiales de datos.
  • Elaboración de perfiles.
  • Sobre los principios del tratamiento de datos, art. 5 RGPD, minimización de datos, transparencia.
  • Medidas de seguridad a adoptar.

Consecuencias PSD2 SCA a partir de 01 de enero de 2021

 

Una de las consecuencias más previstas es que a partir de 01 de enero, los consumidores no podrán realizar compras en los sitios webs, debido a no saber cómo realizar las autenticaciones, en los pagos con tarjeta. Ya que la tasa de abandonos por procedimientos complicados de compra/pagos suele ser muy alto.

Muchas de vuestras plataformas/medios de pago, estarán integrando esto próximamente y sólo tendrán que ver si ya lo tienen o configurarlo, para que la experiencia de usuario sea rápida e intuitiva.

De no tener esto configurado, probablemente no se concreten las compras, porque el propio sistema de pago lo impida.

Configura tu plataforma o pasarela de pagos antes del 31 de diciembre de 2020

Esto como otras cuestiones legales chocan con el marketing online de 2021, que dice que las compras deben ser lo más agiles posibles y darle al consumidor final una forma más rápida de procedimiento de compra, para que su decisión no se vea obstaculizada y abandone el sitio web.

 

 

Como llevamos insistiendo, todavía queda mucho por educar a los usuarios y consumidores en materia de seguridad y protección de datos.

A todos nuestros clientes, les repetimos siempre que deben de indicar que lo que se está proporcionando es un plus de seguridad, eso genera más confianza todavía en vuestros futuros clientes.

Por lo que esto se convierte en una ventaja, porque las compras en internet serán más seguras y sí, ágiles e intuitivas con una grata experiencia de usuario, porque además confía plenamente en que está comprando en un sitio web seguro.

En este post hablamos sobre comercio electrónico y la aplicación de la Directiva PSD2 y SCA. Si tiene cualquier duda, coméntenosla.

Si te ha gustado este post puedes compartirlo en tus redes sociales y seguir nuestras actualizaciones, a través de Facebook  (clic en–> DLegalFirm )

Aviso: Este artículo tiene derechos de autor, el tipo de licencia es Attribution-NonCommercial-NoDerivatives 4.0 International (CC BY-NC-ND 4.0) Puede citarnos, mencionando la autoría pero no es de uso comercial. Por favor, lea sobre el tipo de licencia autorizada. Sobre el descargo de responsabilidad, este artículo no puede ser tomado como una asesoría, ya que dependerá siempre del caso en concreto, es un artículo informativo.

 

PSD2 SCA; Autenticación reforzada de Clientes, pagos seguros por internet a tener en cuenta antes del 31 de diciembre de 2021

La adaptación en Protección de Datos y en comercio electrónico debe de hacerse en todo tu proyecto digital no sólo de la parte web.

Es importante que lo sepas.

error: Contenido protegido DLEGALFIRM.COM